74%的企業云端存在公開暴露的存儲或配置錯誤
根據Tenable公司對其云安全客戶的遙測數據報告發現,74%的客戶存在公開暴露的存儲或其他配置錯誤,給網絡犯罪分子提供了可乘之機。
根據本周發布的云安全供應商Tenable的客戶遙測研究顯示,今年上半年有38%的企業至少有一個云工作負載處于關鍵漏洞狀態,擁有高度權限并公開暴露。
報告指出,這種“有毒云三角”構建了一個高風險的攻擊路徑,使這些工作負載成為不法分子的首選目標。
報告進一步指出,“超過三分之一的企業可能會因此成為未來新聞頭條的主角。”
即使工作負載中只存在一兩個風險因素,對企業的安全也會帶來巨大影響,研究報告指出。
Info-Tech Research Group的高級研究總監Jeremy Roberts(該研究并未與其相關)表示,終端用戶企業在此過程中也有責任。
他說:“云和其他工具一樣,如何使用才是關鍵。許多云安全漏洞并非由供應商引起,而是由于管理不善造成的,就像2019年Capital One的安全事件。權限應定期審核,零信任原則應得到應用,并使用集中管理(如控制塔)來標準化安全基線。”
漏洞問題
總體而言,研究報告指出,74%的企業存在公開暴露的存儲,其中一些包含敏感數據,導致這種暴露的原因通常是不必要或過度的權限。隨著企業加速使用云原生應用程序,他們存儲的敏感數據量(包括客戶和員工信息以及商業知識產權)也在增加,黑客正是以這些存儲在云中的數據為目標。因此,報告期內許多針對云存儲的勒索軟件攻擊都集中在那些擁有過多訪問權限的公共云資源上,這些攻擊本可以避免。
暴露存儲的遙測數據顯示,39%的企業擁有公開的存儲桶,29%的企業擁有權限過高的公開或私有存儲桶,6%的企業擁有權限過高的公開存儲桶。
然而,存儲問題并非唯一的問題,令人擔憂的是,84%的企業擁有未使用或長期存在的訪問密鑰,且這些密鑰具有關鍵或高度嚴重的過度權限。研究指出,這些問題在許多基于身份的攻擊和數據泄露中起到了重要作用。研究列舉了MGM Resorts數據泄露、微軟電子郵件黑客事件以及FBot惡意軟件等案例,這些惡意軟件通過AWS的IAM(身份和訪問管理)用戶在AWS中保持持久性并傳播。
研究報告稱:“IAM風險的核心在于訪問密鑰及其分配的權限,兩者結合,就相當于拿到了存儲在云中的數據的‘鑰匙’。”
此外,23%的主要云服務供應商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人類和非人類)具有關鍵或高度嚴重的過度權限,這無疑是一個災難的配方。
根據Info-Tech Research Group的首席顧問Scott Young的說法,這種情況部分歸因于人性。
Young表示:“授予人類賬戶高比例的關鍵權限反映了人類傾向于選擇阻力最小的路徑,然而,設置這些阻力是有原因的。”他說,“在使用系統時尋求更少的摩擦,會在賬戶被攻破時帶來巨大潛在后果。”
研究還發現,高達78%的企業擁有公開可訪問的Kubernetes API服務器,其中41%允許入站互聯網訪問,研究將此描述為“令人擔憂的”,此外,58%的企業允許某些用戶對Kubernetes環境進行不受限制的控制,44%的企業在特權模式下運行容器,這兩種權限配置大大增加了安全風險。
在這些配置錯誤讓系統本身變得脆弱的基礎上,超過80%的工作負載仍存在未修復的關鍵CVE(如CVE-2024-21626),這是一個嚴重的容器逃逸漏洞,盡管修補程序已經可用。
緩解措施
Tenable提出了一系列緩解策略,幫助企業降低風險。
建立以上下文為驅動的安全文化:將身份、漏洞、配置錯誤和數據風險信息整合到一個統一的工具中,以獲得準確的可視化、上下文和優先級排序。“并非所有風險都相同——識別有毒組合可以顯著降低風險。”
嚴格管理Kubernetes/容器訪問:遵守Pod安全標準,包括限制特權容器并強制執行訪問控制。限制入站訪問,限制對Kubernetes API服務器的入站訪問,并確保Kubelet配置禁用匿名認證,此外,審查集群管理員角色綁定,確認是否真的有必要,如果沒有必要,將用戶綁定到權限較低的角色。
憑證和權限管理:定期輪換憑證,避免使用長期存在的訪問密鑰,并實施即時訪問機制。定期審核和調整人類及非人類身份的權限,以遵循最小權限原則。
優先處理漏洞:將修補等修復工作重點放在高風險漏洞上,尤其是那些VPR分數較高的漏洞。
減少暴露:審查任何公開暴露的資產,以確定暴露是否必要,并確保不會危及機密信息或關鍵基礎設施,及時進行修補。
關于治理、風險和合規(GRC)的討論
Young指出,防止問題的關鍵并不是新概念。
他說:“從高層次來看,黑客攻擊的結構并沒有改變,攻擊者需要找到你,通過一個入口點進入系統,并橫向移動以尋找有價值的東西。”他補充道:“Tenable的報告顯示,整體來看,我們在確保入口點安全以及保護和控制賬戶以限制橫向移動方面進展緩慢,而云環境讓我們更容易被發現。如果不顯著提升安全實踐的成熟度,完善流程,并進行徹底的審計,同時將自動化和編排結合起來以提高速度和一致性,這些問題的數量不會顯著減少。簡而言之,這份報告強有力地支持了一個運行良好的治理、風險和合規(GRC)實踐。”
